Google Takvim Uygulaması Bilgisayar Korsanları Tarafından Kullanılabilir

The Hacker News'e göre Google, çok sayıda tehdit aktörü tarafından, komuta ve kontrol (C2) altyapısını barındırmak için takvim servisini kullanan genel istismarları paylaştığı konusunda uyardı.

Google Takvim RAT (GCR) adı verilen araç, uygulamanın etkinlik özelliğini kullanarak bir Gmail hesabı üzerinden komut ve kontrol sağlıyor. Program ilk olarak Haziran 2023'te GitHub'da yayınlandı.

Güvenlik araştırmacısı MrSaighnal, kodun Google'ın takvim uygulamasındaki etkinlik açıklamalarını istismar ederek gizli bir kanal oluşturduğunu söyledi. Google, sekizinci Tehdit Raporu'nda, aracın gerçek hayatta kullanıldığını gözlemlemediğini, ancak Mandiant tehdit istihbarat biriminin yeraltı forumlarında kavram kanıtı (PoC) istismarlarını paylaşan birkaç tehdit tespit ettiğini belirtti.

Google, GCR'nin ele geçirilmiş bir makinede çalıştığını, olay açıklamasını düzenli olarak yeni komutlar için taradığını, bunları hedef cihazda çalıştırdığını ve açıklamayı komutla güncellediğini söylüyor. Aracın meşru bir altyapıda çalışması, şüpheli etkinlikleri tespit etmeyi zorlaştırıyor.

Bu vaka, tehdit aktörlerinin kurbanların cihazlarına sızmak ve kendilerini gizlemek için bulut hizmetlerini endişe verici bir şekilde nasıl kullandığını bir kez daha gözler önüne seriyor. Daha önce, İran hükümetiyle bağlantılı olduğu düşünülen bir grup bilgisayar korsanı, makro içeren belgeler kullanarak Windows bilgisayarlarda bir arka kapı açmış ve e-posta yoluyla komutlar göndermişti.

Google, arka kapının, saldırganın kontrol ettiği bir web posta hesabına bağlanmak için IMAP kullandığını, e-postaları komutlar açısından ayrıştırdığını, bunları yürüttüğünü ve sonuçları içeren e-postaları geri gönderdiğini söyledi. Google'ın tehdit analiz ekibi, kötü amaçlı yazılımın bir kanal olarak kullandığı saldırganın kontrol ettiği Gmail hesaplarını devre dışı bıraktı.